Nadat we maandenlang hard hebben gewerkt aan het Visma Application Security Program (VASP), hebben we in augustus 2023 de Platinum beveiligingsstatus voor de laatste versie van onze credit managementoplossing CreditManager behaald. Hiermee bewijzen we dat onze beveiliging aan de hoogste beveiligingsstatus van Visma voldoet. Dat is natuurlijk een prestatie waar we ontzettend trots op zijn. We gingen met onze CTO, Tim Blok, in gesprek over wat deze accreditatie precies inhoudt, voor zowel Onguard als onze klanten, hoe het proces verliep en wat de toekomstplannen zijn.
Beveiliging als harde eis
Wanneer een bedrijf lid wordt van de Visma-familie, sluit het zich ook aan bij het Visma Security Program, waar het VASP onder valt. Met dit programma stelt Visma zijn bedrijven in staat om beveiliging, wettelijke naleving, best practices en training onderdeel van hun bedrijfsvoering te maken.
Tim vertelt: “Voor onze klanten is het natuurlijk enorm belangrijk dat de software goed werkt. Maar daarnaast is het voor veel van onze klanten misschien nog wel belangrijker dat de beveiliging op orde is. Zij werken namelijk dagelijks met gevoelige data, zoals persoonsgegevens. Om de veiligheid van de data te garanderen, beveiligen we niet alleen de software, maar de gehele infrastructuur. Met het VASP voldoen we elke dag aan de hoge eisen op het gebied van beveiliging.”
Het VASP in vogelvlucht
Het programma bestaat uit een combinatie van training, begeleiding van experts voor het Developmentteam en geavanceerde beveiligingsdiensten voor software, in dit geval voor CreditManager. Elk bedrijf kiest zijn eigen gewenste beveiligingsniveau: Brons, Zilver, Goud of Platinum.
Er zijn bepaalde richtlijnen voor verschillende type applicaties. Zo moet cloud software, waarin persoonlijke gegevens verwerkt worden, Goud zijn. Tim: “Op basis van onze behoeften en die van de klant, dreigingsniveaus en andere zakelijke overwegingen, hebben wij ervoor gekozen om Platinum als doel te stellen. Dit betekent dat ons Developmentteam zich dagelijks bezighoudt met de beveiliging van onze software. Zo voeren we periodiek penetratietesten uit, waarmee we kijken hoe hackers bij ons binnen kunnen komen. We proberen dan dus doelbewust onze eigen beveiliging te omzeilen om zo de zwakke punten bloot te leggen. Ook vragen we regelmatig aan derden om dit soort testen uit te voeren om belangenverstrengeling te voorkomen. Dit kan bijvoorbeeld worden gedaan door de leden van de Red Teams van Visma. Uiteindelijk pakken we natuurlijk altijd het lek aan om echte dreiging te voorkomen.”
Real-time indexering
Om het werken aan beveiliging interessant te maken voor het gehele team, wordt het VASP gepresenteerd in een gegamificeerde, moderne gebruikersinterface. Hierin kunnen alle medewerkers de resultaten openlijk en live zien in de ‘Security Maturity Index’, waarbij het beoogde beveiligingsniveau versus de werkelijke prestaties in realtime te vinden zijn. Tim: “Als je een dreiging goed én snel hebt opgelost krijg je minder strafpunten. Om Platinum te halen moeten alle bekende problemen zijn opgelost. Om Platinum te blijven moet je ook zeer snel acteren op nieuwe dreigingen. Platinum zegt dus niet alleen iets over hoe goed onze beveiliging op orde is, maar ook over de tijd waarin we beveiligingsproblemen oplossen. Zo moet je een kwetsbaarheid die als ernstig gekwalificeerd wordt binnen zeven dagen oplossen om deze status te mogen behouden.”
Beveiligingsstatus boven de industriestandaard
Het behalen van Platinum bewijst dat de beveiliging van CreditManager tot in de puntjes geregeld is. Daarbij is deze accreditatie boven de standaard van de industrie. Tim: “Het betekent dat onze beveiliging tot in het kleinste detail geregeld is en dat we snel dreigingen kunnen afwenden. Veel andere softwareleveranciers zijn bezig met wekelijkse of maandelijkse check-ups en doen dit dus niet op dagelijkse basis. In sommige gevallen is er zelfs helemaal geen oog voor beveiliging. We hebben hiermee dus echt een grote voorsprong op onze concurrenten.”
De toekomst van beveiliging
Met het programma is beveiliging volledig in onze bedrijfsvoering geïntegreerd. Nu we de Platinum accreditatie hebben binnengehaald, betekent het niet dat het team achterover kan leunen. Tim: “We moeten nu doorgaan en blijven innoveren, want we willen de accreditatie natuurlijk ook graag in de toekomst houden. En de ontwikkelingen op het gebied van beveiliging gaan met een sneltreinvaart, daar moet je bovenop zitten. Daarom wordt structureel twee tot vijf procent van onze capaciteit aan beveiliging besteed, zodat we hier continu aan kunnen blijven werken. We kijken dan ook voortdurend of dit toereikend is om Platinum te behouden en investeren meer tijd als dit nodig blijkt.”
Door het programma heeft het team ook veel processen kunnen automatiseren, waardoor het hele developmentproces een stuk sneller en veiliger is. Tim legt uit: “We hebben nu veel gestandaardiseerd. Dat betekent dat als een developer een nieuw stukje code maakt, het door de pijplijn van onze beveiliging loopt. Het systeem geeft dan aan of de code aan alle beveiligingseisen voldoet of dat er nog een extra check op veiligheid nodig is. Het beveiligingssysteem past zich automatisch aan als er veranderingen zijn, bijvoorbeeld als er een nieuwe hack ontdekt is, om zo elk nieuw gevaar te kunnen detecteren.”
Tim ziet de toekomst vol vertrouwen tegemoet: “Het is heel mooi om te zien dat het VASP nu eigenlijk ingebakken zit in ons DNA. Maar we beperken ons niet alleen tot dit programma, wat enkel gericht is op applicaties. Ook op andere vlakken willen we onze beveiliging dit jaar naar een nog hoger niveau tillen. Zo houden we nauwlettend de nieuwe wetgeving, bijvoorbeeld op het gebied van privacy, in de gaten om daar adequaat op in te spelen. Daarbij blijven we investeren in de beveiliging van de software om zo mee te gaan met de veranderingen in de wereld.”